ZeuS-in-the-Mobile — факты и догадки

в основном все данные за 2009-2011 годы
статья от 17 августа 2012 © hттp://www.pcidss.ru/articles/103.html
Вступление
Сегодня онлайн-банкинг для многих стал совершенно обычным делом. Все больше и больше банков стараются максимально расширить спектр услуг, которыми можно воспользоваться, авторизовавшись в системе онлайн-банкинга. Удобство, скорость — казалось бы, одни плюсы. Однако там, где деньги, пусть и не в виде банкнот, там всегда будут и мошенники.

Когда начались первые атаки на пользователей онлайн-банкинга, сказать сложно. Это и не так важно в данном случае. Мы имели дело с двумя видами атак: атаки с использованием методов «классического» фишинга и атаки с помощью разнообразных вредоносных программ. Изначально целью этих атак являлись средства идентификации пользователя в системе онлайн-банкинга. Проще говоря, логин и пароль. По мере совершенствования банками защитных механизмов, совершенствовались и вредоносные программы: киберпреступники научились обходить большинство существующих средств подтверждения операций в онлайн-банкинге.

На сегодняшний день самыми популярными средствами защиты в онлайн-банкинге являются коды авторизации операций (TAN, transaction authentication number) и цифровая подпись. В некоторых случаях коды авторизации операций могут присылаться банком в SMS-сообщении (mTAN, mobile transaction authentication number). До сентября 2010 года атак на мобильные коды авторизации операций (mTAN) зафиксировано не было. В 2009 году мелькали сообщения о том, что хакеры массово скупают телефоны Nokia 1100 за десятки тысяч долларов, но не все подряд, а лишь те, которые были произведены на фабрике в г. Бохум, Германия. Якобы именно эти телефоны обладали особенностями (или уязвимостями?), которые позволяли перехватывать все SMS-сообщения, в том числе содержащие mTAN’ы. Однако конкретные случаи таких перехватов зафиксированы не были.

Появившийся в конце сентября 2010 года троянец ZeuS для смартфонов (ZeuS-in-the-Mobile, или ZitMo) стал первой вредоносной программой, нацеленной на кражу мобильных кодов аутентификации банковских транзакций. Именно этой вредоносной программе посвящена данная статья.

Общая схема атаки ZitMo

Итак, мобильный ZeuS — Trojan-Spy.*.Zitmo — преследует единственную цель: незаметно и как можно быстрее украсть mTAN. В первую очередь следует отметить немаловажный факт: ZitMo работает в тесной связке с обычным ZeuS. «Обычным» ZeuS мы будем называть модификации троянца, нацеленные на платформу Win32, —Trojan-Spy.Win32.Zbot по классификации «Лаборатории Касперского».

Напомним, что ZeuS для персональных компьютеров, работающих под ОС Windows, известен достаточно давно. Первые модификации этого зловреда появились еще в 2007 году. О том, как работает данная вредоносная программа, можно почитать в статье моего коллеги Дмитрия Тараканова.

Что происходит в случае, если пользователь, на компьютере которого действует обычный ZeuS, собирается авторизоваться в системе онлайн-банкинга? Пользователь пытается зайти на страничку своего банка для авторизации в системе. Обычный ZeuS, отметив, что жертва переходит по интересующему его адресу, модифицирует веб-страницу в браузере таким образом, что персональные данные пользователя, которые он вводит при авторизации, передаются не в банк, а на сервер центра управления ботнетом ZeuS.


Общая схема работы ZeuS

Примерно в сентябре 2010 года злоумышленники добавили в обычный ZeuS новую функцию. Схема его работы фактически осталась неизмененной, однако теперь на модифицированной страничке авторизации в системе онлайн-банкинга помимо логина и пароля пользователя просили указать также модель используемого им мобильного устройства и ввести его номер — якобы для обновления сертификатов.

Часть модифицированной мошенниками странички авторизации в системе онлайн-банкинга с
просьбой указать модель телефона и мобильный номер (Источник: hттp://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-ii.html)

Пользователи, которые предоставили злоумышленникам информацию о мобильных телефонах, через некоторое время получали на указанные номера SMS с просьбой установить новый сертификат безопасности. Этот «сертификат безопасности» можно было скачать по ссылке, указанной в SMS-сообщении. На самом деле «сертификат» был мобильной версией троянца ZeuS. Если пользователь переходил по указанной ссылке, загружал и устанавливал это приложение, то его устройство заражалось ZitMo, основной функционал которого состоит в пересылке SMS-сообщений на номер телефона злоумышленников, указанный в теле троянца.

С той поры схема распространения мобильного ZeuS не изменилась: пользователи загружают его на свои мобильные устройства, полагая, что это легитимное ПО.

Злоумышленники, которым удалось украсть с помощью обычного ZeuS персональные данные пользователя для входа в систему онлайн-банкинга и заразить мобильное устройство жертвы троянцем ZitMo, могут преодолеть последний рубеж защиты систем онлайн-банкинга — mTAN. Используя логин/пароль пользователя они авторизуются в системе онлайн-банкинга и пытаются осуществить транзакцию (например, перевод денег со счета пользователя на свой счет). Для осуществления транзакции требуется дополнительное подтверждение с помощью кода авторизации, высылаемого банком в SMS-сообщении на телефон клиента. Банк, после запроса клиента на осуществление транзакции, отсылает на телефон SMS с кодом авторизации. Сообщение попадает на зараженный ZitMo телефон и сразу же пересылается на телефонный номер злоумышленника, который, используя украденный mTAN, подтверждает транзакцию. При этом клиент банка даже не подозревает о происходящем.

Общая схема атаки выглядит следующим образом:
1. С помощью обычного ZeuS злоумышленник крадет данные, необходимые для доступа в онлайн-банкинг, и мобильный номер клиента банка.
2. На мобильное устройство жертвы, у которой украли данные (см. п. 1), приходит SMS-сообщение с просьбой установить обновление сертификата безопасности или другое необходимое ПО. На самом деле, ссылка в сообщении ведет на мобильную версию ZeuS.
3. Если пользователь установил это ПО, т.е. произошло заражение смартфона, то злоумышленник, используя украденные персональные данные пользователя, пытается осуществить транзакцию по переводу денег со счета пользователя, для авторизации которой необходимо ввести код mTAN.
4. Банк отсылает SMS-сообщение с этим кодом на мобильное устройство клиента.
5. ZitMo пересылает эту SMS с кодом авторизации на телефонный номер злоумышленника.
6. Злоумышленник с помощью украденного mTAN подтверждает транзакцию.

Известные случаи атак

Впервые о ZitMo стало известно 25 сентября 2010 года. Тогда об этом зловреде написала испанская компания S21sec, занимающаяся вопросами защиты информации. Однако до сих пор неизвестно, клиенты какого банка оказались под ударом. Из всей имеющейся информации можно было сделать вывод о том, что, вероятнее всего, речь шла об одном из испанских банков.

После этой публикации антивирусные компании занялись собственными исследованиями. S21sec сообщили о том, что они обнаружили версии ZitMo для двух мобильных платформ: Symbian и Blackberry. Образцы вредоносной программы для Symbian были получены. Однако образец ZitMo для Blackberry достаточно долгое время получить не удавалось, и версия мобильного ZeuS для Blackberry существовала лишь в публикациях.

О второй атаке ZitMo 21 февраля 2011 года написал польский блоггер. Стали известны имена банков, клиенты которых подверглись атаке: это ING и mBank.

Модифицированная ZeuS страничка онлайн-банкинга ING
(Источник: hттp://niebezpiecznik.pl/post/zeus-straszy-polskie-banki/)

Расширился и список атакуемых платформ: теперь под ударом оказались и пользователи смартфонов под управлением ОС Windows Mobile.

На данный момент получили огласку только описанные выше случаи атак ZitMo. Были ли другие атаки, неизвестно. Если да, то, скорее всего, о них уже не появится информация в публичных источниках.

Платформы

К моменту написания статьи (октябрь 2011 года) различные модификации ZitMo обнаружены для следующих платформ: Symbian, Windows Mobile, Blackberry и Android.

Выше мы описали общую схему атаки и определили основную цель мобильной версии ZeuS — SMS-сообщения с mTAN. Функционал троянца ZitMo под различные платформы (кроме Android) идентичен, однако мы считаем необходимым более подробно рассмотреть версии для каждой мобильной ОС.

Для начала следует отметить одну очень важную и интересную деталь, опять же общую для всех версий ZitMo, кроме зловреда для платформы Android. Троянец, действующий на смартфоне, контролируется командами, которые приходят ему в SMS. Так что по сути ZeuS-in-the-Mobile является SMS-ботом, CC которого — другой телефон, а точнее — телефонный номер.

К июлю 2011 года были известны следующие CC-номера:
+44778148****
+44778148****
+44778148****
+44778620****
+44778148****

Видно, что все эти номера — британские. Является ли это косвенным свидетельством того, что авторы вредоносной программы находились на территории Великобритании во время атаки? Возможно.

Symbian
Версия ZitMo для Symbian оказалась первым образцом этого зловреда, который получили антивирусные компании (конец сентября 2010 года). Отдельным пунктом стоит отметить, что эта вредоносная программа была подписана легальной цифровой подписью (в настоящее время эта подпись отозвана).